Operazione Triangolazione

L'obiettivo di questo attacco era spiare: estrarre messaggi e password dai dispositivi, registrare conversazioni e ottenere dati di geolocalizzazione. Il numero esatto di vittime è incerto a causa dell'alto livello di segretezza degli attaccanti, ma alcune fonti stimano che si tratti di diverse migliaia, tra cui organizzazioni commerciali, governative e diplomatiche della Russia e i loro rappresentanti all'estero.^[1]

1° giugno 2023: Kaspersky annuncia la scoperta di tracce di un nuovo tipo di malware in alcuni dispositivi iOS dei suoi dipendenti. Questo malware furtivo, progettato per scopi di spionaggio, è stato rilevato solo grazie a scambi di dati sospetti con gli iPhone infetti. I ricercatori hanno rilevato tracce di infezioni risalenti al 2019. L'attacco è stato denominato Operation Triangulation.^[2][3][4][5]

21 giugno 2023: Kaspersky pubblica una ricerca sull'impianto TriangleDB, utilizzato nell'attacco.^[6][7]

Lo stesso giorno, Apple rilascia aggiornamenti per iOS 15.x e 16.x che correggono due vulnerabilità sfruttate nell'attacco: CVE-2023-32434 nel kernel di iOS e CVE-2023-32435 nel motore di navigazione WebKit. Queste vulnerabilità permettevano di infettare i dispositivi iPhone in modo silenzioso, eludendo i sistemi di sicurezza di iOS.

24 luglio 2023: Apple pubblica aggiornamenti per iOS 15.x e 16.x che risolvono la vulnerabilità CVE-2023-38606 nel kernel di iOS e CVE-2023-41990 nel meccanismo di elaborazione dei font FontParser. Queste vulnerabilità facevano anch'esse parte della catena di infezione di Operation Triangulation.^[8][9]

23 ottobre 2023: Kaspersky pubblica informazioni sulle molteplici fasi di convalida utilizzate dagli attaccanti per selezionare le loro vittime. Questi filtri consentono di infettare solo obiettivi specifici e, in tal modo, evitare di essere rilevati dagli esperti di cybersicurezza.^[10]

26 ottobre 2023: Kaspersky presenta un rapporto al Security Analyst Summit sul processo di ricerca di Operation Triangulation e sugli sforzi per identificare tutti i componenti della catena di infezione.^[11][12]

27 dicembre 2023: Kaspersky presenta un rapporto al Chaos Communication Congress sulla catena di attacco completa e sulle quattro vulnerabilità utilizzate nell'attacco, comprese le funzioni non documentate dei processori Apple.^[13]

28 dicembre 2023: Il noto hacker Hector Martin viene a sapere che Operation Triangulation ha utilizzato funzioni non documentate dei processori Apple e diffonde informazioni sui possibili meccanismi e scopi.^[14]

Operation Triangulation è un attacco contro iOS di estrema complessità tecnica e senza precedenti nel suo genere: la catena di infezione è composta da 14 passaggi, utilizza quattro attacchi zero-day e sfrutta funzioni hardware non documentate dei processori Apple. Tutti gli attacchi che sono venuti alla luce hanno infettato versioni di iOS fino alla 15.7.x, ma le tecniche sono efficaci fino a iOS 16.2.^[15]

Il codice malevolo viene eseguito quando un iPhone riceve un iMessage appositamente progettato e invisibile all'utente. Successivamente, vengono scaricati componenti aggiuntivi dai server di comando di Operation Triangulation che concedono privilegi sul dispositivo infetto e distribuiscono un software spia con ampio accesso al suo contenuto e alle sue funzioni.

L'infezione iniziale avviene tramite l'iMessage invisibile. Il file malevolo dell'iMessage, allegato come un .watchface (un design dello schermo dell'orologio, che è fondamentalmente un file ZIP con un PDF incorporato), esegue un codice che apre Safari in background in modo che i prossimi componenti della catena di infezione vengano caricati da un sito web.

Questo sito contiene uno script di validazione che analizza i parametri del telefono infetto e decide se l'infezione deve continuare mediante l'uso della tecnologia di Canvas fingerprinting, che disegna un triangolo nella pagina web per identificare in modo univoco le vittime. Questo triangolo dà il nome all'intera campagna.

L'attacco utilizza le vulnerabilità zero-day CVE-2023-41990, CVE-2023-32434 e CVE-2023-38606.

Dopo una validazione, lo script della pagina web utilizza anche la vulnerabilità CVE-2023-32435, carica un codice binario nella memoria del dispositivo, ottiene i privilegi di superutente ed esegue una verifica più dettagliata dello smartphone per valutare se sia di interesse per gli attaccanti. Questo validatore binario elimina anche le tracce dell'iMessage ricevuto e, infine, carica TriangleDB, l'impianto malevolo principale.

Il malware opera solo nella memoria del dispositivo, quindi viene cancellato dopo un riavvio. Tuttavia, gli attaccanti possono reinviare l'iMessage e infettare nuovamente la vittima.

Per eludere le protezioni della memoria nelle recenti generazioni di processori Apple (A12–A16), l'exploit della vulnerabilità del kernel CVE-2023-38606 usa funzioni hardware non documentate.

Ciò significa che questo exploit scrive in registri MMIO che non sono descritti nella documentazione e non sono utilizzati né dalle applicazioni né dal sistema operativo iOS. Di conseguenza, il codice dell'exploit può modificare aree protette del kernel di iOS. I ricercatori di Kaspersky suggeriscono che questo meccanismo è stato probabilmente creato per il debug del processore stesso.^[16]

Alcuni esperti sostengono che "pochissimi, o nessuno, eccetto Apple e fornitori di chip come ARM Holdings", potrebbero essere a conoscenza di questa funzione. Hector Martin ha descritto un possibile meccanismo di sfruttamento basato su scritture dirette nella cache di memoria, il che a volte consente di eludere determinati meccanismi di protezione.^[17][18]

Il malware TriangleDB ha una struttura modulare che gli consente di estendere le sue funzioni scaricando moduli aggiuntivi dal server.

La versione base del malware consente di caricare file dal dispositivo al server degli attaccanti, estrarre dati dal portachiavi di iOS, tracciare la geolocalizzazione della vittima e modificare file e processi sul dispositivo.

Alcuni moduli aggiuntivi noti consentono di accedere al microfono per un periodo prolungato (anche se il cellulare è in modalità aereo), eseguire query su database memorizzati nel dispositivo e rubare chat WhatsApp e Telegram.

Bloque degli aggiornamenti

Un indicatore del fatto che un dispositivo è stato bersaglio di Operation Triangulation è l'impossibilità di scaricare aggiornamenti di iOS. Tuttavia, alcuni dispositivi infetti sono stati in grado di aggiornarsi normalmente.

Analisi della copia di sicurezza di iTunes

Alcune tracce dell'attacco possono essere trovate nei file di sistema dell'iPhone. Poiché non è possibile accedere a questi file dal dispositivo stesso, si consiglia di eseguire un backup dell'iPhone su iTunes e quindi analizzarlo con lo strumento triangle_check.^[19][20]

Analisi delle connessioni di rete

Il codice malevolo di Operation Triangulation stabilisce connessioni con i server degli attaccanti, ed è stato pubblicato un elenco degli indirizzi utilizzati che tutti possono consultare.

Eliminazione dell'infezione

Per i dispositivi già compromessi, gli esperti raccomandano di seguire i seguenti passaggi per evitare la reinfezione: ripristinare i valori di fabbrica, disattivare iMessage, aggiornare iOS a una versione più recente.

Kaspersky non ha rilasciato dichiarazioni ufficiali sull'origine dell'attacco né lo ha attribuito a nessun gruppo o paese.

Tuttavia, il 1° giugno 2023, il Servizio Federale di Sicurezza della Russia (FSB) ha rilasciato un comunicato sulla scoperta di malware nei telefoni Apple, indicando che sfruttava "vulnerabilità fornite dal produttore". L'FSB ha accusato direttamente Apple di collaborare con la NSA e ha affermato che diverse migliaia di telefoni sono stati infettati, inclusi dispositivi al di fuori della Russia in paesi della NATO, dello spazio post-sovietico, Israele, Siria e Cina.

Lo stesso giorno, Apple ha rilasciato un comunicato per negare le accuse.^[21]

Va notato che l'FSB e Kaspersky hanno rilasciato dichiarazioni separate, ma alcuni esperti concordano sul fatto che entrambi facciano chiaro riferimento all'Operazione Triangolazione.

Apple ha negato pubblicamente qualsiasi tipo di legame con le agenzie di intelligence per impiantare backdoor e ha rilasciato diversi aggiornamenti per correggere le vulnerabilità sfruttate dall'Operazione Triangolazione.

Tra luglio e agosto 2023, diverse organizzazioni governative e commerciali della Russia hanno vietato l'uso di dispositivi Apple per scopi ufficiali, tra cui il Ministero dello Sviluppo Digitale, il Ministero dell'Industria e del Commercio, il Ministero dei Trasporti, il Servizio Fiscale Federale e il servizio delle Ferrovie Russe. Poco tempo dopo, la Banca Centrale e il Ministero delle Situazioni di Emergenza della Russia hanno adottato la stessa misura.^[22][23][24]

Nella stessa linea, a settembre 2023, il governo cinese ha esteso il divieto di utilizzare gli iPhone per i dipendenti delle aziende statali.^[25]

Da parte sua, nel 2024, il Ministero della Difesa della Corea del Sud ha annunciato il divieto di utilizzare telefoni iPhone per motivi di sicurezza, senza influenzare l'uso di telefoni con Android.^[26]